Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Помогите! Не могу червя удалить!


Рекомендуемые сообщения

Червь, очень похожий на sasser, всё время перезагружает систему. Пробовал clrav, заплатку fxsasser, microsoft sasser remove tool, ничего его не определяет. Помогите, чё делать?? :bye1:

Ссылка на комментарий
Поделиться на другие сайты

Почему ты так уверен чтоэто червь, если ничто его не видит? Просканируй в безопасном режиме. Если его там нет - то определенно проблемы с железом.

Ссылка на комментарий
Поделиться на другие сайты

Просканил в безопасном, всё то же самое, ничего нет...

А на sasser подумал, потому что ошибка в файле lsass происходит, и окошко вылезает с предупреждением, что через минуту система перезагрузится.

Ссылка на комментарий
Поделиться на другие сайты

Просканил в безопасном, всё то же самое, ничего нет...

А на sasser подумал, потому что ошибка в файле lsass происходит, и окошко вылезает с предупреждением, что через минуту система перезагрузится.

Вот этот сканер попробуй:

http://download.drweb.com/drweb+cureit/?lng=ru

Потому как уязвимость LSASS используют куча червей.

P.S. В безопасном режиме комп тоже постоянно перезагружается?

Ссылка на комментарий
Поделиться на другие сайты

Во! Вот этот сканер нашёл наконец-то! И правда это оказался не сассер, а BackDoor.HangUp какой-то...

Saule, спасибо тебе! Очень выручил))

Ссылка на комментарий
Поделиться на другие сайты

Млин, не так всё просто, как я думал......он хоть и поудалял кучу файлов, но не все. Он не может всё сразу удалить, частями только удаляет, а червь всё равно сидит и перезагружает всё время......как всё сразу удалить?

Ссылка на комментарий
Поделиться на другие сайты

Млин, не так всё просто, как я думал......он хоть и поудалял кучу файлов, но не все. Он не может всё сразу удалить, частями только удаляет, а червь всё равно сидит и перезагружает всё время......как всё сразу удалить?

Жди Saule, она скажет что делать дальше. :blush2:

Ссылка на комментарий
Поделиться на другие сайты

Млин, не так всё просто, как я думал......он хоть и поудалял кучу файлов, но не все. Он не может всё сразу удалить, частями только удаляет, а червь всё равно сидит и перезагружает всё время......как всё сразу удалить?
Если у тебя Windows XP/ME - на время лечения нужно отключить функцию System Restore:
Для этого кликаем на My Computer правой кнопкой мыши и заходим в Properties. Затем в закладку System Restore и ставим галочку напротив Turn off System Restore on all drives.

После чего компьютер предложит перезагрузиться. Соглашаемся. И перезагружаемся в безопасный режим (Safe Mode), чтобы нам не мешало ничего лишнее:

При появлении меню загрузки Windows нужно нажать клавишу F8. И на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем Enter.

Далее сканим систему и удаляем зараженные файлы...

--------------------

Если же вдруг всё равно не поможет, то сделай, пожалуйста, лог HijackThis

Нужно включить и нажать на кнопку "Do a systemscan and save a logfile". И программа автоматически выдаст лог-файл.

Его содержимое скопируй прямо в топик или пришли мне в ПМ. Таким образом, можно будет найти и обезвредить "ядро" вируса, чтобы дальнейшей чистке уже ничего не мешало.

--------------------

И заплатка Microsoft для этой дырки - Microsoft Security Bulletin MS04-011

Ссылка на комментарий
Поделиться на другие сайты

!

Предупреждение:
Мукс: Есть специальная тема: Помощь в лечении систем от нечисти, вопрос-ответ Свой вопрос надо было там задавать!
Изменено пользователем matva
Ссылка на комментарий
Поделиться на другие сайты

matva, понятно

Saule, сделал, что ты сказала, не помогло...постучался к тебе в аську, но тебя там нет, поэтому сюда лог выкину:

Logfile of HijackThis v1.99.1

Scan saved at 19:32:05, on 08.06.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ICQLite\ICQLite.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\devldr32.exe

C:\WINDOWS\system32\fsb.exe

C:\WINDOWS\System32\FCDDDBD0.exe

C:\Program Files\Internet Explorer\Iexplore.exe

D:\HJ\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yandex.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com?fref=149133 (file missing)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O21 - SSODL: FCDDDBD0 - {151D104F-5D56-6BDA-0B37-095003A55B3B} - C:\WINDOWS\System32\Kgcnhd32.dll (file missing)

O21 - SSODL: mtklef - {63835C7F-4CE8-4744-E1B6-C7F7D3533C0E} - C:\WINDOWS\System32\ssic32.dll (file missing)

O21 - SSODL: mtkle - {6D33AFFA-8D49-4209-B7B6-1C672F0C7F34} - C:\WINDOWS\System32\mzhh32.dll (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Ссылка на комментарий
Поделиться на другие сайты

Saule, сделал, что ты сказала, не помогло...постучался к тебе в аську, но тебя там нет, поэтому сюда лог выкину:

Открываем HijackThis, нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующее:

O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com?fref=149133 (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O21 - SSODL: FCDDDBD0 - {151D104F-5D56-6BDA-0B37-095003A55B3B} - C:\WINDOWS\System32\Kgcnhd32.dll (file missing)

O21 - SSODL: mtklef - {63835C7F-4CE8-4744-E1B6-C7F7D3533C0E} - C:\WINDOWS\System32\ssic32.dll (file missing)

O21 - SSODL: mtkle - {6D33AFFA-8D49-4209-B7B6-1C672F0C7F34} - C:\WINDOWS\System32\mzhh32.dll (file missing)

И затем нажимаем на кнопку "Fix Checked" (браузер при этом нужно закрыть).

Это так, мелочи... Даже если ты этого и не сделаешь, ничего критического не случиться, я просто люблю чистоту :D

-------------------

А теперь о твоей проблемме.

Я сначала была не совсем уверенна о каком HandUp'e идет речь, так как там должна была быть еще и цифра на конце, a теперь поняла :) (благодаря файлам fsb.exe, FCDDDBD0.exe из лога).

У Microsoft он называеться Download.Ject (What You Should Know About Download.Ject; Download.Ject detection and recovery advisory). Другие названия: Berbew, Webber, Padodor, Qukart... Но это всё лирика, перейдем к делу.

Этот вирус использует руткит (маскировку с помощью перехватов важных функций системы), поэтому часть его файлов антивирус просто не видит.

1. Сначала нам нужно нейтролизовать перехваты с помощью антируткита Олега Зайцева - AVZ.

Программа на русском, поэтому я думаю ты легко с ней разберешься.

Плюс в его базе есть нужные нам сигнатуры, поэтому я думаю после нейтрализации руткита, он сам и удалит этот вирус, даже Dr.Web не понадобиться. Хотя для верности после разок пройтись можно :)

2. Избавляемся от всех временных файлов.

Либо с помощью специальной прграммы, например CleanUp (нужно инсталировать, запустить и нажать на кнопку CleanUp) или ATF-Cleaner (удобен тем, что не требует инсталяции).

Либо в ручную:

1) Идем сюда - C:\Windows\Temp
И удаляем всё содержимое (если что-то удаляться не захочет, ничего страшного, это нормально).
2) Дальше: Start > Run
вписываем %temp%
Откроеться Temp фолдер. Также удаляем всё его содержимое.
3) Control Panel > Internet Options; и нажимаем на кнопку Delete Files.
Ссылка на комментарий
Поделиться на другие сайты

Вкратце: ничё опять не помогло, он не может его полностью удалить...

когда ты в аське бываешь?

Online в аське никогда не бываю, всё время Invisible :)

Поэтому стучать нужно в OFF.

Сейчас уезжала на 5 дней, поэтому меня вообще не было.

А обычно я почти круглосуточно, но могу не отвечать, если я занята :)

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...